可略過卸除式或外接式媒體的 NTFS 磁碟存取權限

適用於: Windows RTWindows 8Windows 8 Enterprise

簡介


我們發現可能遭他人用來存取卸除式裝置上檔案的詳細資訊與工具。這些工具可略過 Microsoft Windows 非伺服器分配上的 NTFS 檔案權限。我們發現此問題可能影響內部磁碟,修正了標示為卸除式的磁碟,以及 USB、Firewire、E-SATA、SD 和其他卸除式媒體等外部媒體。我們發現有些存放控制器的磁碟無論實體位置是在電池槽的內部或外部,或該磁碟所用的連線類型為何,都可能會被標示為「卸除式」。

此問題不會影響主要系統磁碟區 (也就是 Windows 目前執行的裝置)。

在預設設定中受到影響的系統風險最高,例如,這包括系統正在執行 Windows Vista、Windows 7 和 Windows 8 的多個磁碟。

其他相關資訊


如何分辨您的環境是否受到影響

  1. 開啟提高權限的命令提示字元視窗。如果要執行這項操作,請按一下 [開始],輸入 CMD,在 [Cmd.exe] 上按右鍵,然後按一下 [以系統管理員身分執行]
  2. 在提高權限的命令提示字元中輸入下列命令,然後按 Enter:
    Powershell
  3. 在 Powershell 提示字元中輸入下列命令:
    Get-WmiObject -Class Win32_DiskDrive | Format-Table Name,Model, MediaType



這段指令碼會傳回類似下列的輸出:



姓名型號媒體類型
\\.\PHYSICALDRIVE0ST31000528AS固定式的硬碟媒體
\\.\PHYSICALDRIVE3WD Ext HDD 1021 USB 裝置外部硬碟媒體
\\.\PHYSICALDRIVE4Corsair Voyager 3.0 USB 裝置卸除式媒體
如果傳回的媒體類型為「卸除式媒體」或是「外接式硬碟媒體」,設定會受到本文中所記錄的問題所影響。

解決方案


我們建議客戶若想要保留次要磁碟的作業系統層級磁碟權限,請執行下列其中一個強化步驟:

啟用卸除式裝置或媒體的讀取與寫入權限的控制項

若要啟用卸除式裝置或媒體的讀取與寫入權限的控制項,請依照下列步驟執行:
  1. 按 Windows 鍵和 R 以開啟 [執行] 功能表。
  2. 輸入 MMC.exe,然後按 Enter。
  3. [檔案] 功能表,按一下 [新增/移除嵌入式管理單元 (CTRL+M)],然後選取 [群組原則物件編輯器]。按一下 [確定]
  4. 依序按一下 [瀏覽][使用者] 索引標籤,然後再按兩下 [非系統管理員]
  5. 按一下 [完成],然後按一下 [確定]
  6. 在瀏覽窗格中,依序展開 [本機電腦\原則系統管理員][使用者設定][系統管理範本][系統],然後按一下 [卸除式存放裝置存取]
  7. 按兩下 [所有卸除式存放裝置類別:拒絕所有存取],然後按一下以選取 [啟用] 選項。
  8. 按一下 [套用],然後按一下 [確定]
如果您無法執行這些強化步驟,我們建議您不要在受影響的磁碟或裝置上儲存機密資訊。例如,不要在不同使用者共用的工作站或任何檔案系統備份上儲存個人或驗證資訊。如需詳細資訊,請連絡您磁碟控制卡硬體的製造商。 

Microsoft Fix It 自動解決方案可自動將系統設為禁止卸除式裝置的讀取與寫入權限。
如果要我們為您修正此問題,請移至<為我修正此問題>一節。

為我修正此問題


Windows 7 或 Windows 8 的 Fix It 解決方案



如果要啟用或停用此 Fixit 解決方案,請按一下 [Fix it] 按鈕、[啟用] 標題下方的連結或 [停用] 標題下方的連結。按一下 [檔案下載] 對話方塊中的 [執行],然後依照 Fix it 精靈中的步驟執行。
啟用停用

Windows Vista 的 Fix It 解決方案


如果要啟用或停用此 Fixit 解決方案,請按一下 [Fix it] 按鈕、[啟用] 標題下方的連結或 [停用] 標題下方的連結。按一下 [檔案下載] 對話方塊中的 [執行],然後依照 Fix it 精靈中的步驟執行。
啟用停用
注意事項
  • 這些精靈可能只提供英文版本。不過,自動修正程式也適用於 Windows 的其他語言版本。
  • 如果您不在發生問題的電腦上,則可將自動修正程式儲存至快閃磁碟機或 CD,然後在發生問題的電腦上加以執行。

常見問題集


  • 為何 Windows 針對不同種類的存放媒體會有不同的安全性原則?
    Windows 支援多種存放裝置,從傳統的固定式磁碟 (例如硬碟和固態硬碟) 到卸除式磁碟 (例如 SD 卡和 USB 拇指碟)。支援多種存放裝置可讓客戶在多種情況中使用 Windows 搭配 Windows 相容硬體豐富的生態系統。這包括消費型裝置在內,例如相機、行動電話等。Windows 在從住家、小型店家到企業等部署了 Windows 的各種環境中,針對所有這些情況和裝置提供絕佳的端對端體驗。

    要將 Windows 設定為支援這些不同的情況,必須先瞭解與每個情況相關的不同規定和優先順序。其中包括一系列的考量,例如使用性、安全性、管理能力,以及其他功能。因此,從安全性觀點來看,特定類別存放裝置的管理方式各有差異。這反映出很多因素。其中包括使用裝置的環境 (例如主要在家中或是在企業環境中) 以及此裝置是否會在不同的裝置間使用。其中包括不是以 Windows 為基礎的裝置。
  • 造成問題的原因為何?
    安全性原則中的主要差異是介於傳統、固定式及卸除式磁碟之間。

    根據預設,傳統硬碟資料儲存的存取權限受到系統「存取控制清單」(ACL) 所限制,以要求提升系統管理權限。這會提供不同環境下適當的安全性層級。單一使用者系統和多使用者系統皆適用。在大部分電腦中,硬碟是作業系統等重要資料所在之處,ACL 需要提高系統管理認證才能存取此資料。Windows 可在必要時提供各種管理能力工具,以更細微的方式來控制此原則。這包括 Bitlocker、群組原則及其他的 ACL。在硬碟上,非系統管理員使用者無法執行磁碟區層級工具 (例如格式化),也沒有檔案系統內容直接的封鎖層級存取權限。 

    相較下,卸除式媒體基本上是設計用來在不同的裝置之間傳輸。其中包括消費性電子產品裝置,以及不是以 Windows 為基礎的裝置,例如相機和行動電話。根據預設,存取儲存在卸除式媒體的資料並不需要提升系統管理權限。這些裝置通常會與消費性電子裝置相關聯。您必須確定這些裝置上的資料易於存取和方便管理。例如,要是卸除式裝置上的檔案系統遭到損毀,任何使用者都可以執行 chkdsk,嘗試修復損毀。在提高安全性為優先順序的環境中,客戶可以執行額外的控制,防止對卸除式媒體的存取權限,或要求將所有卸除式媒體加密。這可限制使用卸除式媒體作為安全性需求的一部份。
  • 如何判斷設定是否存有弱點?
    使用者可以使用桌面通知區域中的「安全地移除硬體」快速存取圖示來判斷他們的環境中是否有卸除式裝置。如果有裝置列在此功能表中,即表示該裝罝已標示為「卸除式」。

    使用者也可以存取在 [控制台] 中的卸除式裝置清單。例如,依序開啟 [所有控制台項目][裝置和印表機],然後按一下 [裝置] 索引標籤。

    請參閱<如何分辨您的環境是否受到影響>一節,瞭解如何使用 Windows PowerShell 來判斷設定是否存有弱點的詳細資訊。
  • 哪些 Windows 作業系統會在預設設定中受到影響?
    Windows Vista、Windows 7 以及 Windows 8 會在預設設定中受到影響。
  • 透過群組原則強制執行卸除式媒體的讀取與寫入權限的潛在風險有哪些?
    透過群組原則限制對卸除式儲存裝置的存取權限的潛在風險,可能造成部分應用程式無法啟動或要求提高權限。例如,您的備份軟體可能無法和卸除式裝置之間執行備份。同樣地,任何檢查磁碟 (chkdsk) 或格式化磁碟的作業類型將會需要系統管理權限。這可能會導致磁碟管理和操作軟體無法在受限制的執行模式下作業。
  • Bitlocker 的潛在風險有哪些?
    Bitlocker 是針對卸除式裝置資料安全性的建議解決方案。使用 Bitlocker 將會導致效能在加密及解密資料時稍微降低。
  • 攻擊者可能會利用此弱點採取什麼行動?
    使用非系統管理員存取權限的攻擊者可以讀取或寫入磁碟,無論是否具有本機系統管理員的身分。攻擊者具有可以任意讀取和寫入裝置與檔案系統的存取權限。這可能會導致目標資訊洩漏。

致謝



Microsoft 向以下人員 致謝 (英文),感謝他們與我們合作協助保護客戶:



  • George Georgiev Valkov 與我們協力合作解決此問題。